Documente Academic
Documente Profesional
Documente Cultură
Microsoft present la estructura lgica de Active Directory con Windows Server 2000 y
esto cambio sustancialmente el modo en cmo se organizan estructuralmente las redes
dentro de los servidores Windows. A partir de all Microsoft comenz a pensar las redes
en trminos de la organizacin jerrquica utilizada por Active Directory.
SERVICIOS DE DIRECTORIO
Un servicio de directorio gestiona una base de datos organizada jerrquicamente y
Windows utiliza como servicio de directorio el servicio de dominio de Active Directory.
Este servicio nos permite administrar eficientemente los recursos de la red. Un servicio de
directorio almacena la informacin detallada y organizada de cada uno de los recursos de
la red, lo que facilita las tareas de autenticacin y bsqueda de los recursos.
Aplicacin
Win 32
Servicios
Active Subsistema de Ejecutivos
Directory seguridad
Mdulo servicio
de Directorio
Las peticiones entrantes pasan al subsistema de seguridad desde donde se derivan los
componentes del servicio de directorio. Este servicio est capacitado para aceptar
peticiones de una gran variedad de clientes con diversos protocolos (LDAP, SMPT, RPC,
etc.)
Active Directory utiliza una estructura arbolada jerrquica para organizar los objetos de la
base de datos lo que simplifica las tareas de administracin. Esta estructura tambin
facilita la tarea de agregado de nuevos dominios al rbol de Active Directory.
Para comprender mejor la estructura lgica de Active Directory debemos revisar algunos
conceptos.
Active Directory debe administrar una gran cantidad de recursos diversos, para ello
Microsoft decidi utiliza el modelo LDAP para la organizacin de datos. Active Directory es
una implementacin LDAP y este modelo trata a los recursos de la red como objetos.
Los objetos por sus partes pueden contener otros objetos y, en este caso, es un objeto
contenedor. Hay varias clases de objetos.
Usuarios
Grupos
Equipos
Impresoras
Unidades organizativas.
Ya sabemos cules son los objetos de un directorio, ahora veremos cmo se organizan
dentro del sistema para que podamos utilizarlo eficientemente.
El directorio es una estructura jerrquica y los objetos del directorio se organizan de modo
que conforman un rbol de directorio. La estructura de la jerarqua es el resultado de la
definicin del esquema y se utiliza para definir las relaciones de dependencia padre-hijo
de los objetos almacenados en el directorio.
Un dominio es una agrupacin lgica de objetos de la red para implantar una
administracin centralizada en un servicio de directorio, dentro del rbol del directorio un
dominio es un objeto ms en el directorio aunque es un objeto contenedor de otros
objetos y, por esa razn, se le considera objeto padre de un grupo de objetos. Un objeto
de Active Directory puede contener una cantidad ilimitada de objetos(antes era limitado).
Este cambio ha provocado que normalmente podamos resolver toda nuestra red como un
nico dominio y con subdominios
La estructura de Active Directory se puede considerar como un rbol que contiene una
coleccin de dominios. Todos estos dominios comparten un catlogo global, que es el
repositorio central de todos los objetos de un rbol de dominios. Con esto se puede
deducir que todos los dominios del rbol podrn tener acceso al mismo conjunto de
recursos, independientemente del dominio que contiene el recurso,
Cuando creamos un nuevo rbol, simultneamente creamos un dominio que ser la raz
del rbol. A este rbol le podemos aadir nuevos dominios, que sern hijos del primer
dominio, es decir, son subdominios.
Los subdominios en un rbol comparten el mismo espacio de nombres del dominio raz y
toman como parte de su nombre, el nombre del dominio raz.
inforbook.com
edit.inforbooks.com
distr.inforbooks.com
eu.distr.inforbooks.com
Tal como se menciono anteriormente, aunque un rbol permite crear un contenedor
administrativo de una gran cantidad de objetos existe un contenedor mayor que contiene
una coleccin de arboles: este contenedor se denomina bosque. Los rboles de un
bosque se gestionan de modo independiente y poseen sus propios espacios de nombres
pero, al compartir el mismo bosque, comparten el mismo Catalogo global. Esto implica
que los arboles del mismo bosque pueden localizar y acceder a los recursos de todo el
bosque del dominios.
Relacin de confianza
inforbook.com abisa.com
edit.inforbooks.com
distr.inforbooks.com
eu.distr.inforbooks.com
cursos.abisa.com
Un nico dominio puede dar servicio a una gran cantidad de usuarios y poner a
disposicin de esos usuarios los recursos del dominio. Por lo tanto, el uso de un nico
dominio es suficiente para las empresas pequeas y medianas. El uso de bosques se
precisara en empresas grandes.
Los privilegios no se aplican por el hecho de existir una relacin de confianza. Esta, por si
sola, no cede ni deniega ninguna clase de permisos implcitos o automticos.
Para la administracin del bosque, Active Directory utiliza dos niveles de administradores:
Utilizando la figura anterior como base de este ejemplo, con dos dominios en un bosque,
si un usuario del dominio distr.inforbooks.com, necesita acceder a una impresora que
reside en el dominio abisa.com, un administrador con privilegios de administrador de
empresa puede concederle el acceso al dispositivo. Obviamente el administrador del
dominio abisa.com, tambin podra concederle el acceso al dispositivo, pero esa
concesin no podra hacer el administrador de dominio distr.inforbooks.com ni tampoco
el administrador del dominio inforbooks.com.
En todo este trayecto, la peticin del usuario pasa, por tres controladores de dominio, uno
por cada dominio que se atraviesa, independientemente de la ubicacin fsica del recurso
(en este caso, una impresora).
Con Active Directory tambin se pueden implementar confianzas externas que copian el
funcionamiento que utiliza el sistema Windows NT.4. Estas confianzas son siempre
unidireccionales y se configuran manualmente.
La confianza externa se mantiene para permitir crear una relacin de confianza entre un
dominio de Active Directory y un dominio heredado de Windows NT.4.